You are on page 1of 26

Prise en main dun commutateur Cisco

goffinet@goffinet.eu version 14.02

Scnario
Un commutateur connecte une ou deux stations de travail dans un LAN (192.168.1.0 /24). On suppose lexistence dune passerelle dont on ne soucie pas. La configuration est ralise via la console physique. A des fins de gestion seulement, une adresse IP est fixe sur le commutateur.

Topologie

Objectifs
Configuration globale Configuration de linterface de gestion Activation de la console distante SSH Scurisation de base Scurisation des ports Diagnostic de base

Connexion la console physique


Cble invers (roll-over) COM1/RJ ou du port USB du PC au commutateur sur le port console. Lancer un logiciel d'mulation de terminal (putty/hyperterminal) 9600 bauds

Dmarrage dun commutateur


C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4) Cisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory. 2960-24TT starting... Base ethernet MAC Address: 0009.7C8D.80C5 Xmodem file system is available. Initializing Flash... flashfs[0]: 1 files, 0 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 64016384 flashfs[0]: Bytes used: 4414921 flashfs[0]: Bytes available: 59601463 flashfs[0]: flashfs fsck took 1 seconds. ...done Initializing Flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 Loading "flash:/c2960-lanbase-mz.122-25.FX.bin"... ########################################################################## [OK]

Password Recovery
On peut reprendre la main sur un commutateur dj configur en interrompant son dmarrage et en renommant le fichier de configuration initiale. La procdure est bien documente : http://www.cisco. com/c/en/us/support/docs/switches/catalyst-2950-seriesswitches/12040-pswdrec-2900xl.html

Navigation CLI
Passage en mode privlge >enable # Passage en mode de configuration globale #configure terminal (config)# Configuration dune interface (config)#interface FastEthernet 0/1 (config-if)# Passage aux modes infrieurs (config-if)#exit (config)#exit #

Aide au CLI
Une aide est accessible via le point dinterrogation. Les commandes sauto-compltent avec la touche de tabulation. Lenvironnement indique lendroit dune erreur. Les commandes sabrgent si il ny pas dambigut. En cas dambigut, lenvironnement propose les choix. Par dfaut les logs apparaissent dans la console, pas en terminal distant. raccourcis clavier : on peut faire dfiler lhistorique des commandes avec les flches du haut et du bas, on peut revenir au mode privilge directement (CTRL-Z), etc. La commande do permet dexcuter une commande du mode privilge dans un autre mode.

Navigation CLI
Toutes les commandes dadministration s excutent en mode privilge :
Commande IOS #show running-config #show flash: #show ip interface brief #show vlan #copy running-config startup-config #write memory Signification Visualise la configuration courante (RAM) Visualise le contenu de la mmoire Flash Visualise ltat des interfaces (IPv4) Visualise la DB des VLANs Enregistre la configuration courante Enregistre la configuration courante

Configuration globale
Accs au mode de configuration globale Nom dhte Nom du domaine Accs au mode privilge >en #configure terminal (config)# hostname SW0 ip domain-name entreprise.lan enable secret cisco

Configuration du service SSH (1/2)


Cration dun compte d administration Cration dune cl RSA de 1024 bits username admin secret cisco crypto key generate rsa
The name for the keys will be: SW0. entreprise.lan Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Configuration du service SSH (2/2)


Configuration des lignes virtuelles et activation de SSH Authentification dans la base de donnes locale Activation de SSH comme console TCP/IP Sortir de la configuration des lignes virtuelles (config)#line vty 0 15 (config-line)# login local transport input ssh (config)line#exit (config)#

Configuration statique de linterface de gestion


Linterface de gestion du commutateur est attribue au VLAN 1 par dfaut Configuration de ladresse IP On prend garde de monter l interface Sortir de la configuration d interface VLAN 1 (config)#interface vlan 1 (config-if)# ip address 192.168.1.1 255.255.255.0 no shutdown (config-if)#exit (config)#

Configuration de la passerelle ip default-gateway 192.168.1.254 soit ladresse IP de linterface du routeur qui est dans le VLAN 30. Configuration dun serveur de nom ( condition den disposer en laboratoire) ip name-server 8.8.8.8

Enregistrement et vrification
Enregistrement de la configuration courante
(config)# ^Z # %SYS-5-CONFIG_I: Configured from console by console copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] #

Vrification de la Configuration courante


#show running-config ...

Faiblesse des mots de passe


La plupart des mots de passe sont visibles dans le fichier de configuration :
no service password-encryption ! hostname SW1 ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 ! username admin privilege 1 password 0 cisco

Encryption automatique des mots de passe


(config)#service password-encryption

activera l'encryption type 7 sur les mots de passe. Dans le fichier de configuration :
service password-encryption ! hostname SW1 ! enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 ! username admin privilege 1 password 7 0822455D0A16

On prfrera toujours le paramtre "secret" au lieu de password fournissant une encryption type 5 (MD5) :
(config)#username admin secret cisco

Dcryption type 7
http://www.ibeast. com/content/tools/CiscoPassword/

Configuration des messages d'accueil


(config)#banner motd #Message# (config)#banner login #Message#

Configurer une plage d'interfaces


(config)#interface range f0/1-24 (config-if-range)#duplex auto (config-if-range)#speed auto (config-if-range)#mdix auto (config-if-range)#switchport mode access (config-if-range)#switchport access vlan 1 (config-if-range)#spanning-tree portfast (config-if-range)#exit

Diagnostic sur un commutateur


#show mac-address-table #show interface f0/1 #show vlan

Scurit sur les ports


(config)#interface f0/1 (config-if)#switchport mode access (config-if)#switchport port-security Cette fonction permet de contrler les adresses MAC autorises sur un port. En cas de violation, une action est prise. Par dfaut, Cette fonction est dsactive Une seule adresse MAC apprise dynamiquement En cas de violation, le port tombe en mode shutdown

Dfinition des adresses MAC autorises


On peut fixer le nombre dadresses MAC autorises : (config-if)#switchport port-security maximum 10 Les adresses MAC apprises peuvent tre inscrites dynamiquement dans la configuration : (config-if)#switchport port-security macaddress sticky Les adresses MAC autorises peuvent tre fixes : (config-if)#switchport port-security macaddress 0000.0000.0003

Mode de violation
(config-if)#switchport port-security violation {protect | restrict | shutdown} Mode protect : ds que la violation est constate, le port arrte de transfrer le trafic des adresses non autorises sans envoyer de message de log. Mode restrict : ds que la violation est constate, le port arrte de transfrer le trafic des adresses non autorises et transmet un message de log. Mode shutdown : ds que la violation est constate, le port passe en tat err-disabled (shutdown) et un message de log est envoy.

Diagnostic scurit sur les ports


Dsactivation dun port err-disabled :
(config)#errdisable recovery cause psecureviolation

Diagnostic :
#show port-security #show port-security interface f0/1 #show running-config #clear port-security {all | configured | dynamic | sticky}

Rfrences
http://www.cisco. com/en/US/docs/switches/lan/catalyst2960/software/rel ease/12.2_55_se/configuration/guide/scg_2960.html